一种自治域内恶意流量过滤方法及系统技术方案

本发明专利技术公开了一种自治域内恶意流量过滤方法及系统，包括实时采集当前网络中节点设备的网络信息和节点状态信息，并根据该信息生成全局统一的实时信息视图；基于异常处理Exception‑Handler策略模型，构建过滤策略模型；根据恶意流量类型和网络中过滤节点的类型，实例化过滤策略模型；基于实例化的过滤策略模型，利用过滤节点搜索算法，将该实例化的过滤策略模型部署到网络的过滤节点中，实现对恶意流量的过滤。本发明专利技术在网络中实现对恶意流量的有效过滤的前提下，在保护范围、灵活性、可扩展性方面均有较大优势，具有良好的应用前景。

【技术实现步骤摘要】

本专利技术涉及计算机网络
，具体涉及一种自治域内恶意流量过滤方法及其实现方法。
技术介绍
随着网络技术和智能电网等行业应用的飞速发展，对于以电力通信网为代表的大规模复杂自治域网络来说，域内由病毒，蠕虫及垃圾邮件产生的恶意流量，管理人员的错误配置或者恶意软件对服务器的攻击，将会使域内各节点消耗巨大的网络带宽，对网络造成巨大的压力，势必会影响到电网控制的实时性和电网运行的稳定性。针对这一现状，如何构建一个能够有效过滤域内恶意流量的处理机制，是目前网络研究所关注的一个重要课题。目前，传统的安全技术能够通过在网络边缘路由器(EdgeRouter)或者关键服务前端部署的防火墙上配置过滤策略等方法来过滤网络上的恶意流量，工作主要集中在以下几个方面：1)攻击预防(AttackPrevention)，该思路主要致力于在恶意流量对实际目标产生影响之前，在网络的关键节点(例如自治域边缘节点)部署过滤策略；2)瓶颈资源管理(BottleneckResourceManagement)，该思路认为，恶意流量对网络中瓶颈资源的危害最为严重，它们最易被恶意流量所侵袭而耗费殆尽；3)攻击应对(AttackReaction)，主要思路是尽可能接近恶意流量的来源，在网络的中间路径节点或者流量源端处对恶意流量进行过滤。以上三个方面都是在整个广域网络体系框架下思考如何过滤恶意流量的，但大多数方案较为复杂，并且不能处理在源自域内的恶意流量，而且，在广域网络范围内实施较为困难，需要在整个网络部署特定的设备(如防火墙或路由器)来支持特定的通信消息，甚至需要特定的网络架构等；同时上述的方法本身并不能消除恶意流量，因此，恶意流量对其他网络节点的压力仍然存在；最后配置这些规则缺乏可扩展性，需要人工设计、部署，因此，无法灵活应对层出不穷的恶意流量攻击类型。通过上述描述的问题，由于当前的网络架构不能适应网络的发展要求，因此，有必要考虑在下一代网络架构下来解决这个关键问题。不同于传统网络，软件定义网络(Software-DefinedNetworking,SDN)最初由斯坦福大学CleanSlate项目组提出，根据SANE,Ethane等研究工作为基础，采用OpenFlow技术，进行相应的扩展。它采用域内集中控制的原则，将网络中控制逻辑与网络数据传输分离，控制逻辑集中到控制器上，天然的为恶意流量过滤机制提供了全局的统一控制能力。同时，该网络模型在自治域范围内还能够有效地获取域内各节点相关信息，为控制节点检测发现恶意流量提供坚实的信息基础，如何利用SDN，实现自治域内恶意流量过滤的具体实现，是当前急需解决的问题。
技术实现思路
本专利技术的目的是克服现有技术中无法实现自治域内恶意流量过滤的问题。本专利技术的自治域内恶意流量过滤方法及系统，与传统的恶意流量过滤机制相比，能够在网络中实现对恶意流量的有效过滤的前提下，在保护范围、灵活性、可扩展性方面均有较大优势，具有良好的应用前景。为了达到上述目的，本专利技术所采用的技术方案是：一种自治域内恶意流量过滤方法，该方法的步骤包括，实时采集当前网络中节点设备的网络信息和节点状态信息，并根据该信息生成全局统一的实时信息视图；基于异常处理Exception-Handler策略模型，构建过滤策略模型；根据恶意流量类型和网络中过滤节点的类型，实例化过滤策略模型；基于实例化的过滤策略模型，利用过滤节点搜索算法，将该实例化的过滤策略模型部署到网络的过滤节点中，实现对恶意流量的过滤。前述的自治域内恶意流量过滤方法，其特征在于：该方法的步骤进一步包括：将恶意流量过滤的结果进行反馈和存储。前述的自治域内恶意流量过滤方法，所述节点设备的网络信息和节点状态信息是通过将控制中心内的信息采集代理部署于当前网络中节点设备上，利用所述信息采集代理采集节点设备的网络信息和节点状态信息，并提供给控制中心；所述实时信息视图是利用控制中心将节点设备的网络信息和节点状态信息生成全局统一的实时信息视图。前述的自治域内恶意流量过滤方法，基于异常处理Exception-Handler策略模型，构建过滤策略模型，是根据恶意流量类型和过滤规则的映射关系，并结合过滤节点的类型制定的过滤策略。前述的自治域内恶意流量过滤方法，根据恶意流量类型和过滤规则的映射关系，并结合过滤节点的类型制定的过滤策略的过程包括：(1)控制中心根据具体检测到的恶意流量类型实例化抽象为Exception，根据过滤节点的节点类型实例化对应的Handler，并针对Exception对应的Handler生成对应的过滤规则；(2)当同一个Exception存在不同的Handler时，利用面向对象的层次化继承机制，将Exception与各Handler通过继承关系组织起来；(3)若出现新的恶意流量类型，控制中心抽象出新的Exception和对应的Handler，从而保证过滤策略的可扩展性。前述的自治域内恶意流量过滤方法，所述过滤节点搜索算法通过计算发现最接近恶意流量源的过滤节点，并在该过滤节点上部署对应的过滤策略，过滤恶意流量。前述的自治域内恶意流量过滤方法，所述过滤节点搜索算法是基于BFS的过滤节点搜索算法，根据网络中基于图的广度优先算法，从恶意流量源点出发搜索所有到达目标节点的路径，随后在每一条路径中按照节点与源端的距离、节点类型以及状态负荷计算权重，再选择一个节点作为过滤节点，最后合并结果，得到最接近恶意流量源的过滤节点。前述的自治域内恶意流量过滤方法，所述基于BFS的过滤节点搜索算法，包括单源单目标过滤节点搜索算法和多源多目标过滤节点搜索算法，所述单源单目标过滤节点搜索算法用于网络中单个恶意流量源攻击单个目标节点的情况；所述多源多目标过滤节点搜索算法用于网络中多个恶意流量源攻击多个目标节点的情况。一种自治域内恶意流量过滤系统，其特征在于：基于Controller-Agent模式的系统框架在控制中心内构建而成的，包括信息收集模块，实时采集当前网络中节点设备的网络信息和节点状态信息，并根据该信息生成全局统一的实时信息视图；过滤策略模型构建模块，基于异常处理Exception-Handler策略模型，构建过滤策略模型；实例化模块，根据恶意流量类型和网络中过滤节点的类型，实例化过滤策略模型；过滤策略部署及执行模块，基于实例化的过滤策略模型，利用过滤节点搜索算法，将该实例化的过滤策略模型部署到网络的过滤节点中，实现对恶意流量的过滤，所述控制中心将其内部的信息收集模块、过滤策略模型构建模块、实例化模块、过滤策略部署及执行模块形成自反馈闭环控制整体。前述的自治域内恶意流量过滤系统，过滤策略部署及执行模块对恶意流量的过滤完成后，将过滤结果反馈给控制中心。前述的自治域内恶意流量过滤系统，控制中心内信息收集模块的信息采集代理部署于当前网络中节点设备上，所述信息采集代理采集节点设备的网络信息和节点状态信息，并提供给控制中心；控制中心将节点设备的网络信息和节点状态信息生成全局统一的实时信息视图。前述的自治域内恶意流量过滤系统，基于异常处理Exception-Handler策略模型，构建过滤策略模型，是根据恶意流量类型和过滤规则的映射关系，并结合过滤节点的类型制定的过滤策略。前述的自治域内恶意流量过滤系统，根据恶意流量类型和本文档来自技高网...

【技术保护点】
一种自治域内恶意流量过滤方法，其特征在于：该方法的步骤包括，实时采集当前网络中节点设备的网络信息和节点状态信息，并根据该信息生成全局统一的实时信息视图；基于异常处理Exception‑Handler策略模型，构建过滤策略模型；根据恶意流量类型和网络中过滤节点的类型，实例化过滤策略模型；基于实例化的过滤策略模型，利用过滤节点搜索算法，将该实例化的过滤策略模型部署到网络的过滤节点中，实现对恶意流量的过滤。

【技术特征摘要】
1.一种自治域内恶意流量过滤方法，其特征在于：该方法的步骤包括，实时采集当前网络中节点设备的网络信息和节点状态信息，并根据该信息生成全局统一的实时信息视图；基于异常处理Exception-Handler策略模型，构建过滤策略模型；根据恶意流量类型和网络中过滤节点的类型，实例化过滤策略模型；基于实例化的过滤策略模型，利用过滤节点搜索算法，将该实例化的过滤策略模型部署到网络的过滤节点中，实现对恶意流量的过滤。2.根据权利要求1所述的自治域内恶意流量过滤方法，其特征在于：该方法的步骤进一步包括：将恶意流量过滤的结果进行反馈和存储。3.根据权利要求1所述的自治域内恶意流量过滤方法，其特征在于：所述节点设备的网络信息和节点状态信息是通过将控制中心内的信息采集代理部署于当前网络中节点设备上，利用所述信息采集代理采集节点设备的网络信息和节点状态信息，并提供给控制中心；所述实时信息视图是利用控制中心将节点设备的网络信息和节点状态信息生成全局统一的实时信息视图。4.根据权利要求1所述的自治域内恶意流量过滤方法，其特征在于：基于异常处理Exception-Handler策略模型，构建过滤策略模型，是根据恶意流量类型和过滤规则的映射关系，并结合过滤节点的类型制定的过滤策略。5.根据权利要求4所述的自治域内恶意流量过滤方法，其特征在于：根据恶意流量类型和过滤规则的映射关系，并结合过滤节点的类型制定的过滤策略的过程包括：(1)控制中心根据具体检测到的恶意流量类型实例化抽象为Exception，根据过滤节点的节点类型实例化对应的Handler，并针对Exception对应的Handler生成对应的过滤规则；(2)当同一个Exception存在不同的Handler时，利用面向对象的层次化继承机制，将Exception与各Handler通过继承关系组织起来；(3)若出现新的恶意流量类型，控制中心抽象出新的Exception和对应的Handler，从而保证过滤策略的可扩展性。6.根据权利要求1所述的自治域内恶意流量过滤方法，其特征在于：所述过滤节点搜索算法通过计算发现最接近恶意流量源的过滤节点，并在该过滤节点上部署对应的过滤策略，过滤恶意流量。7.根据权利要求6所述的自治域内恶意流量过滤方法，其特征在于：所述过滤节点搜索算法是基于BFS的过滤节点搜索算法，根据网络中基于图的广度优先算法，从恶意流量源点出发搜索所有到达目标节点的路径，随后在每一条路径中按照节点与源端的距离、节点类型以及状态负荷计算权重，再选择一个节点作为过滤节点，最后合并结果，得到最接近恶意流量源的过滤节点。8.根据权利要求7所述的自治域内恶意流量过滤方法，其特征在于：所述基于BFS的过滤节点搜索算法，包括单源单目标过滤节点搜索算法和多源多目标过滤节点搜索算法，所述单源单目标过滤节点搜索算法用于网络中单个恶意流量源攻击单个目标节点的情况；所述多源多目标过滤节点搜索算法用于网络中多个恶意流量源攻击多个目标节点的情况。9.一种自治域内恶意流量过滤系统，其特征在于：基于Controller-Agent模式的系统框架在控制中心内构建而成的，...

【专利技术属性】
技术研发人员：刘金锁，李洋，张立武，冯宝，蔡世龙，刘文贵，丁晨阳，高雪，胡阳，张迎星，崔林，周建华，缪巍巍，李伟，张润环，
申请(专利权)人：国家电网公司，南京南瑞集团公司，南京南瑞信息通信科技有限公司，国网江苏省电力公司电力科学研究院，
类型：发明
国别省市：北京;11